Gemeinsame Erklärung zur Sicherheit von GNU/Linux

To: debian-news-german@lists.debian.org
Subject: Gemeinsame Erklärung zur Sicherheit von GNU/Linux
From: Frank Lichtenheld <djpig@debian.org>
Date: Wed, 7 Apr 2004 00:59:01 +0200
Message-id: <[🔎] 20040406225901.GB708@djpig.de>
Mail-followup-to: djpig@debian.org, debian-user-german@lists.debian.org
------------------------------------------------------------------------
Das Debian-Projekt                                http://www.debian.org/
Gemeinsame Erklärung zur Sicherheit von GNU/Linux       press@debian.org
6. April 2004                   http://www.debian.org/News/2004/20040406
------------------------------------------------------------------------

Gemeinsame Erklärung zur Sicherheit von GNU/Linux

Kurzfassung:

Die GNU/Linux-Anbieter Debian, Mandrake, Red Hat und SUSE haben
sich zusammengeschlossen, um eine gemeinsame Erklärung zum
Forrester-Bericht mit dem Titel »Is Linux more secure than Windows?«
(»Ist Linux sicherer als Windows?«) abzugeben. Entgegen der
Behauptung des Berichts, eine qualitative Beurteilung der Reaktionen
der Anbieter auf schwerwiegende Verwundbarkeiten zu bieten, behandelt
er alle Verwundbarkeiten gleich, unabhängig von ihrem Risiko für
die Benutzer. Daher sind die Schlussfolgerungen, die durch Forrester
gezogen werden, von nur geringem praktischen Wert für Kunden, die
einschätzen wollen, wie schnell schwerwiegende Verwundbarkeiten
behoben werden.

Vollständige Erklärung:

Die Sicherheitsteams der GNU/Linux-Distributoren Debian, Mandrakesoft,
Red Hat und SUSE haben Forrester dabei geholfen, Daten über
Verwundbarkeiten in ihren Produkten zusammenzustellen und zu korrigieren.
Die gesammelten Daten wurden durch Forrester zur Erstellung eines Berichts
mit dem Titel »Is Linux more secure than Windows?« (»Ist Linux sicherer
als Windows?«) benutzt. Während die Daten über Verwundbarkeiten in
Verbindung mit GNU/Linux, die die Basis des Berichts darstellen, als
hinreichend genau und sinnvoll angesehen werden, sind Debian, Mandrakesoft,
Red Hat und SUSE, von nun an mit »wir« bezeichnet, besorgt über die
Korrektheit der Schlussfolgerungen, die im Bericht gezogen werden.

Wir glauben, dass es im Interesse unserer Benutzer und der
Freien-Software-Gemeinschaft ist, auf den Forrester-Bericht in Form
einer gemeinsamen Erklärung zu antworten:

Wir wurden von Forrester im Februar 2004 darauf angesprochen, ihnen zu
helfen, ihre Rohdaten zu verfeinern. Forrester sammelte Daten über die
Verwundbarkeiten, von denen GNU/Linux im Zeitraum eines Jahres
(Juni 2002 - Mai 2003) betroffen war, und untersuchte, wie viele Tage es
gedauert hatte, bis wir unseren Benutzern eine Ausbesserung anbieten konnten.
Erhebliche Anstrengungen wurden darauf verwendet, sicher zu stellen, dass
nicht nur die zugrunde liegenden Daten über die Verwundbarkeiten korrekt
waren, sondern auch den speziellen technischen und organisatorischen Aufwand
zu beschreiben, der im Bereich der professionellen Sicherheitsbehandlung
für Freie Software betrieben wird. Diese Kompetenz wird von unseren
Benutzern sehr geschätzt, da sie einen zusätzlichen Wert unserer Produkte
darstellt. Wir müssen jedoch feststellen, dass der größte Teil dieses
Wertes in den Methoden, die zur Analyse der Verwundbarkeitsdaten verwendet
wurden, ignoriert wurde, was zu fehlerhaften Schlussfolgerungen führte.

Unsere Sicherheitsteams und angesehene, auf Sicherheit spezialisierte
Organisationen (wie CERT/DHS, BSI, NIST, NISCC) tauschen Informationen
über Verwundbarkeiten aus und kooperieren bei ihrer Beurteilung und
Behebung. Jede Verwundbarkeit wird individuell untersucht und beurteilt;
die Schwere der Verwundbarkeit wird von jedem der einzelnen Teams
basierend sowohl auf dem Risiko und den Auswirkungen wie auch anderen,
meist technischen Eigenschaften der Verwundbarkeit und der betroffenen
Software festgestellt. Diese Schwere wird dann benutzt, um die Priorität,
mit der an einer Behebung der Verwundbarkeit gearbeitet wird, gegenüber
anderen ausstehenden Verwundbarkeiten festzulegen. Unsere Benutzer werden
wissen, dass wir auf kritische Fehler innerhalb von Stunden reagieren können.
Diese Gewichtung bedeutet, dass weniger schwerwiegende Fälle oft
zugunsten ernsterer Fehler zurückgestellt werden.

Trotz gegenteiliger Behauptung macht der Forrester-Bericht diese
Unterscheidung nicht, wenn er die Zeit misst, die zwischen der
Veröffentlichung einer Sicherheitslücke und der Verfügbarkeit einer
Korrektur durch den Anbieter vergangen ist. Für jeden Anbieter gibt
der Bericht nur einen einfachen Durchschnitt an, die »Risikotage für
Alles/die Distribution«, der ein wenig aussagekräftiges Bild von
der Wirklichkeit wiedergibt, wie sie unsere Benutzer erleben. Der
Durchschnitt bewertet fälschlicherweise alle Verwundbarkeiten als
gleichwertig, unabhängig vom Risiko, das von ihnen ausgeht. Nicht
alle Verwundbarkeiten haben vergleichbare Auswirkungen auf alle
Benutzer. In der Studie wurde der Versuch unternommen, eine Schwere der
Verwundbarkeiten basierend auf Daten einer anderen Quelle festzulegen,
die Klassifizierung der »schwerwiegenden« (»high-severity«)
Verwundbarkeiten ist jedoch nicht ausreichend: Die einfache
Veröffentlichung einer Verwundbarkeit durch eine bestimmte
Sicherheitsorganisation macht die Verwundbarkeit noch nicht
schwerwiegend - ebenso ist die Tatsache, ob eine Sicherheitslücke
über das Netzwerk (»remote«) ausnutzbar ist, oft irrelevant für die
Schwere der Verwundbarkeit.

Wir glauben, dass der Bericht Anbieter Freier Software und den
einzelnen Closed-Source-Anbieter nicht gleich behandelt. Freie
Software ist bekannt für ihre Vielfalt und die Freiheit der Wahl im
Rahmen der Standards, die sie definiert. Typischerweise werden
mehrere Implementierungen dieser Standards sowohl für Desktop-, als
auch für Server-Nutzung angeboten, was den Benutzern die Freiheit
gibt, Software aufgrund ihrer eigenen Kriterien an Stelle derer des
Anbieters auszuwählen. Die Offenheit, Transparenz und Verfolgbarkeit
des Quellcodes ist ein zusätzlicher Wert zu der größeren Vielfalt
der verfügbaren Software-Pakete. Die Behauptung schließlich, dass
ein Software-Anbieter 100 % seiner Fehler im Zeitraum des Berichts
behoben hat, sollte Anreiz genug sein, die Schlussfolgerungen des
Berichts genauer unter die Lupe zu nehmen.

unterzeichnet,
Noah Meyerhans, Debian
Vincent Danen, Mandrakesoft
Mark J Cox, Red Hat
Roman Drahtmüller, SUSE


Zusätzliche Informationen:

Javier Fernández-Sanguino Peña führte im Jahre 2001[*] eine Untersuchung
durch und stellte fest, dass das Debian Sicherheitsteam im Durchschnitt
35 Tage gebraucht hat, um Verwundbarkeiten zu beheben, die auf der
Bugtraq-Liste veröffentlicht wurden. Über 50 % der Verwundbarkeiten
wurden jedoch innerhalb der ersten 10 Tage behoben und über 15 % sogar
am gleichen Tag! Für diese Analyse wurden jedoch alle Verwundbarkeiten
gleich behandelt.

Er hat die Untersuchung basierend auf den Verwundbarkeiten, die zwischen
dem 1. Juni 2002 und dem 31. Mai 2003 entdeckt wurden, wiederholt und
stellte fest, dass der Median des Zeitraums zwischen der Veröffentlichung
einer Verwundbarkeit und der Veröffentlichung eines Sicherheitshinweises
inklusive einiger Korrekturen 10 Tage betrug (der Durchschnitt waren
13,5 Tage). Auch für diese Analyse wurden keine verschiedenen Prioritäten
der Verwundbarkeiten berücksichtigt.

 * http://lists.debian.org/debian-security-0112/msg00257.html
   http://people.debian.org/~jfs/debconf/security/data/
Reply to:
Prev by Date: Debian Sicherheitshinweise CVE-kompatibel
Next by Date: Debian Weekly News - 06. April 2004
Previous by thread: Debian Sicherheitshinweise CVE-kompatibel
Next by thread: Debian Weekly News - 06. April 2004
Index(es):
- Date
- Thread